Skip to main content
Microsoft Azure Pack için Windows Kimlik Doğrulamayı etkinleştirme: Web Siteleri
 

Uygulama Alanı: Windows Azure Pack

Microsoft Azure Pack: Web Siteleri, kimlik doğrulaması için Active Directory ile web sitesi tümleştirmeyi destekler. Uygulama Havuzu desteği ayrıca bir web sitesinin veritabanı kaynaklarına bağlanmak için kullanılan belirli bir kimlik altında çalışmasına olanak sağlar.

System_CAPS_noteNot

Uygulama Havuzu Kimliği özelliği şu anda tüm doğrudan senaryoları desteklemez ve yalnızca veritabanlarıyla çalışır.

Active Directory kimlik doğrulamasının etkinleştirilmesi için aşağıdaki koşulların geçerli olması gerekir:

  • Tüm Web Sitesi Çalışan rolleri aynı Active Directory etki alanına katılmış olmalıdır.

  • Bir Web Sitesi bulutu bir Active Directory etki alanına katıldıktan sonra buluta yalnızca aynı etki alanının parçası olan çalışanlar eklenebilir.

Active Directory kimlik doğrulamasını Yönetim Portalı kullanarak veya PowerShell komutları ile etkinleştirebilirsiniz.

Active Directory'yi Yönetim Portalı'ndan etkinleştirmek için

  1. Web Sitesi Bulutu'nun Yapılandır sekmesini açın.

  2. Genel Ayarlar bölümünde Web Sitesi Windows Kimlik Doğrulaması için aşağıdaki üç seçenekten birini belirleyin:

    Ayar

    Açıklama

    Kapalı

    Buluttaki web siteleri için Windows kimlik doğrulamasını devre dışı bırakır

    İzin ver

    Kiracıların web sitelerinde etkinleştirebilmesi için Windows kimlik doğrulamasını etkinleştirir

    Gerekli

    Buluttaki tüm web sitelerinin Windows kimlik doğrulaması kullanmasını gerektirir

Windows kimlik doğrulaması yönetici tarafından Gerekli Kıl değerine ayarlandığında, web sitesi bulutundaki tüm kiracı web sitelerinde Active Directory tümleştirmesi bulunur. Bu durum bir web sitesi kiracısının kimliği doğrulanmamış bir deneyimi ayarlayamayacağı anlamına gelir. Gerekli Kıl ayarı, Web Siteleri yöneticisine tüm web sitelerinin güvenliğinin sağlandığına yönelik güvence verir.

Windows kimlik doğrulaması yönetici tarafından İzin Ver değerine ayarlandığında, kiracılar sitelerinin kimlik doğrulaması için Active Directory ile tümleştirilip tümleştirilmeyeceğine karar verebilir. İzin Ver ayarı etkinleştirildiğinde kiracılar, web sitelerindeki her bir sayfayı kimlik doğrulaması gerektirmeyecek şekilde yönlendirebilir.

Kiracılar web sitelerinin Yönetim Portalı'nın Yapılandır sekmesinden Active Directory tümleştirmesini etkinleştirebilir. Active Directory tümleştirmesini yapılandırma seçeneği yalnızca web sitesinin ait olduğu Web Sitesi Bulutu için yönetici tarafından etkinleştirilmişse etkinleştirilir. Bulut yöneticisi tarafından yapılan ayarlara bağlı olarak, kiracılar Active Directory tümleştirmesini devre dışı bırakabilir, etkinleştirebilir veya gerekli kılabilir.

Active Directory'i kiracı Yönetim Portalı'ndaki bir kiracı web sitesi için yapılandırma

  1. Web sitesinin Yapılandır sekmesini açın.

  2. Genel bölümünde Windows Kimlik Doğrulaması için aşağıdaki üç seçenekten birini belirleyin:

    Ayar

    Açıklama

    Kapalı

    Web sitesi için Windows kimlik doğrulamasını devre dışı bırakır

    İzin ver

    Windows kimlik doğrulamasını web sitesinde kullanılmak üzere etkinleştirir

    Gerekli

    Tüm web sitesinin Windows kimlik doğrulamasını kullanmasını gerektirir

Windows Kimlik Doğrulaması ayarı Gerekli Kıl olarak belirlendiğinde sitedeki tüm sayfalar Active Directory kimlik doğrulaması tarafından korunur. Gerekli Kıl ayarı, web sitesi sahibinin birden çok geliştirici aynı web sitesini güncelleştirse bile kimlik doğrulamasının devre dışı bırakılamayacağından emin olmasını sağlar.

Windows Kimlik Doğrulaması ayarı İzin Ver olarak belirlendiğinde web sitesi kimlik doğrulaması için Active Directory tarafından korunur. Ancak, web sitesi geliştiricileri yine de bu sitedeki her bir sayfayı devre dışı bırakabilir.

Bulut sistemi yöneticisi Active Directory kimlik doğrulamasını Gerekli Kıl olarak ayarladıysa, kiracı bunu kendi web sitesi için devre dışı bırakamaz.

Uygulama havuzu kimlikleri yalnızca web siteleri bulutundaki tüm çalışanlar aynı Active Directory etki alanına katılırsa etkinleştirilebilir. Yöneticiler uygulama havuzu kimliği özelliğini Web Sitesi Bulutu'nun Yapılandır sekmesinden yönetebilir.

Uygulama havuzu kimliğini bulut yönetici portalı üzerinden etkinleştirmek için

  1. Web Sitesi Bulutu'nun Yapılandır sekmesini açın.

  2. Genel Ayarlar bölümünde, Özel Uygulama Havuzu Kimliği ayarını İzin Ver olarak belirleyin.

Uygulama havuzu kimlikleri yalnızca web sitesinin ait olduğu web sitesi bulutu için özel uygulama havuzu kimliklerinin kullanılması web sitesi bulutu yöneticisi tarafından etkinleştirilirse etkinleştirilebilir. Kiracılar web sitelerinin Yönetim Portalı'nın Yapılandır sekmesinden uygulama havuzu kimliğini etkinleştirebilir.

Kiracı web sitesi Yönetim Portalında özel uygulama havuzu kimliklerini etkinleştirmek için

  1. Web Sitesi Bulutu'nun Yapılandır sekmesini açın.

  2. Genel Ayarlar bölümünde, Özel Uygulama Havuzu Kimliği ayarını İzin Ver olarak belirleyin.

  3. Web sitesinin hangi kullanıcı adı ve parola altında çalışacağını belirtin.

Bu ayar tamamlandığında web sitesi, kullanıcı ile aynı etki alanında bulunan veya aynı etki alanına devredilen veritabanlarına bağlanmak için belirtilen kimliği kullanabilir.

İlk olarak, gerekli PowerShell komutlarını etkinleştirmek için aşağıdaki komutu çalıştırarak PowerShell Web Siteleri modülünü içeri aktarın:

Import-Module WebSites

Henüz bir web siteniz yoksa, Microsoft Azure Pack: Web Siteleri Yönetim Portalı'nı veya aşağıdaki PowerShell cmdlet'ini kullanarak bir tane oluşturabilirsiniz. Örnekte contoso, adatum ve contoso.fabrikam.com değerlerini kendi web sitenizin adı, abonelik kimliğiniz ve kullanacağınız konak adı ile değiştirin.

New-WebSitesSite -Name contoso -SubscriptionId adatum -HostNames contoso.fabrikam.com

Web sitenizde Windows kimlik doğrulamasını etkinleştirmek için Denetleyici'de Allow seçeneğini kullanarak aşağıdaki cmdlet'i çalıştırın. Sitenin applicationhost.config dosyasındaki kimlik doğrulaması yapılandırma bölümlerini kilitlemek ve sitede her türlü web.config dosyasının ya da sitedeki herhangi bir uygulamanın bunu geçersiz kılmasını engellemek istediğinizde Required seçeneği kullanılabilir. Aşağıdaki örnekte adatum değerini abonelik kimliğinizle, contoso değerini ise web sitenizin adıyla değiştirin.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Required}

Microsoft Azure Pack web sitesi için Kerberos'un etkinleştirilmesi işlemi aşağıdakileri içerir:

  1. Windows kimlik doğrulamasını etkinleştirmek için, NTLM tabanlı Windows kimlik doğrulamasındakilerle aynı komutları verin.

  2. Etki alanı sunucusunda bir etki alanı kullanıcısı oluşturun.

  3. Sitede Kerberos'u destekleyecek her konak adı için bir Hizmet Asıl Adı (SPN) ekleyin.

  4. Etki alanı kullanıcısını aboneliğinizin appPool kimliğine atayın.

Bu adımlar aşağıda ayrıntılı olarak açıklanmıştır.

Denetleyicide Allow seçeneğini kullanarak aşağıdaki cmdlet'i çalıştırın. Örnekte adatum değerini abonelik kimliğinizle, contoso değerini ise web sitenizin adıyla değiştirin.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Required}

Bir etki alanı kullanıcısı oluşturmak için etki alanı sunucusunda aşağıdaki komutu çalıştırın. lowprivilegeduser ve password değerlerini ortamınıza uygun değerlerle değiştirin.

net users /add lowprivilegeduser  password

Sitede Kerberos'u destekleyecek her konak adı için bir Hizmet Asıl Adı (SPN) eklemek istiyorsanız etki alanı sunucusunda aşağıdaki komutu çalıştırın. contoso.fabrikam.com, domainname, ve lowprivilegeduser değerlerini ortamınıza karşılık gelen değerlerle değiştirin.

Setspn -S http/contoso.fabrikam.com  domainname\lowprivilegeduser

Oluşturduğunuz kullanıcıyı uygulama havuzuna atamak için Microsoft Azure Pack Web Siteleri Denetleyicisinde aşağıdaki adımları gerçekleştirin. Yeni bir PowerShell penceresinde aşağıdaki komutları çalıştırın. adatum, contoso, domainname, lowprivilegeduser ve password değerlerini ortamınıza karşılık gelen değerlerle değiştirin.

Add-PSSnapin WebHostingSnapin
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password

Windows kimlik doğrulamasını devre dışı bırakmanız gerekirse aşağıdaki PowerShell komutunu çalıştırın. Örnekte adatum değerini abonelik kimliğinizle, contoso değerini ise web sitenizin adıyla değiştirin.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled Off

Microsoft Azure Pack web sitesi için SQL ile Tümleşik Kimlik Doğrulamasının etkinleştirilmesi aşağıdaki adımları içerir:

  1. Etki alanı sunucusunda bir etki alanı kullanıcısı oluşturun.

  2. Etki alanı kullanıcısına veritabanı izinleri verin.

  3. Etki alanı kullanıcısını aboneliğinizin appPool kimliğine atayın.

Bu adımlar aşağıda ayrıntılı olarak açıklanmıştır.

Bir etki alanı kullanıcısı oluşturmak için etki alanı sunucusunda aşağıdaki komutu çalıştırın. lowprivilegeduser ve password değerlerini ortamınıza karşılık gelen değerlerle değiştirin.

net users /add lowprivilegeduser  password

Oluşturduğunuz etki alanı kullanıcısına veritabanı izinleri vermek için SQL Server'da aşağıdaki komutları çalıştırın. usersdatabasename, domainname\lowprivilegeduser ve lowPrivilegedDBUser değerlerini ortamınıza karşılık gelen değerlerle değiştirin.

use usersdatabasename;

CREATE LOGIN [domainname\lowprivilegeduser] FROM WINDOWS;

CREATE USER lowPrivilegedDBUser FOR LOGIN [domainname\lowprivilegeduser];

EXEC sp_addrolemember 'db_datareader', lowPrivilegedDBUser;

Oluşturduğunuz kullanıcıyı uygulama havuzuna atamak için Microsoft Azure Pack Web Siteleri Denetleyicisinde aşağıdaki adımları gerçekleştirin. Yeni bir PowerShell penceresinde aşağıdaki komutları çalıştırın. adatum, contoso, domainname, lowprivilegeduser ve password değerlerini ortamınıza karşılık gelen değerlerle değiştirin.

Add-PSSnapin WebHostingSnapin Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password